windows环境下的基础应急响应知识

前言

现在搞安全也越来越卷了感觉,所以来学习一波应急响应,不论是甲方工作还是在乙方工作,这项技能都是能用得上的,所以感觉还不错,学习起来,本篇文章问windows响应的基础内容学习总结。

用户安全检测

查看是否存在弱口令,管理端口是否对外开放。

wmic useraccount get name,SID

可以检测出影子用户和注册表隐藏的用户(net user命令搜索容易漏过这些特殊用户)

运行lsurmgr.msc可以进行查看

在这里插入图片描述

查看管理员分组有哪些用户

net localgroup administrators

查看xxx用户的创建时间和上⼀次登陆时间

net user xxx

进入C:/Users ⽂件夹,查看哪些用户登陆了系统,以及黑客没有清理干净的恶意用户。,要注意时间

查看服务器是否存在隐藏账号、克隆账号

  • 打开注册表 ,查看管理员对应键值。
  • 使用D盾_web查杀工具,集成了对克隆账号检测的功能。

在这里插入图片描述

异常网络链接查看

使用netstat -ano 进行查看网络链接,查看是否存在异常的链接,比如主动发起的与外网的链接

在这里插入图片描述

如果发现异常链接的话,可以使用tasklist |findstr pid的方式对恶意程序进行定位,看看是哪一个恶意的程序发起的链接

例如
在这里插入图片描述

木马心跳值检测

异常的网络链接不一定总是存在的,有时候是心跳值这种,可以使用LiveTcpUdpWatch对网络情况进行查看(可后台运行半小时查看结果),该软件能记录DNS请求(用于捕捉木马心跳—非持续性连接的网络进程),网络连接等情况,通过远程连接IP(流量获取或者其他途径)定位到木马的PID。

全流量检测

使用wireshark 进行全流量检测,主要是尽可能多的收集攻击者信息和潜在的木马连接信息。

进程查看

个人推荐是使用ProcessExplorer,工具,可以进行查看签名信息等,重点关注没有签名的进程信息;

在这里插入图片描述

PCHunter也比较好用,可以进行查看,信息比较全,可以同时看到进程名称和程序路径。

开始–运行–输入msinfo32,依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期、启动时间等。但是感觉还是不如工具实用。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-scig0Wvy-1629877343278)(44EABABABBEF4C40B38DB48651CD684E)]

查看进程是否存在问题可以从以下几个方面进行查看

  • 没有签名验证信息的进程
  • 没有描述信息的进程
  • 进程的属主
  • 进程的路径是否合法
  • CPU或内存资源占用长时间过高的进程

不方便使用外部命令的话可以使用,wmic 命令导入到一个文件中进行查看。

wmic process get caption,commandline,creationDate,executablepath,handle,handleCount > 1.txt
  • caption:进程名;
  • commandline:进程名、程序执行路径、进程执行参数;
  • creationDate:进程启动时间(格式为:年月日时分秒);
  • executablepath:程序执行路径;
  • handle:进程pid;
  • handleCount:该进程的父进程pid。

病毒查杀

webshell 查杀

D盾_Web查杀:http://www.d99net.net/index.asp

河马webshell查杀:http://www.shellpub.com

病毒查杀

卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe (推荐理由:绿色版、最新病毒库)

大蜘蛛:http://free.drweb.ru/download+cureit+free(推荐理由:扫描快、一次下载只能用1周,更新病毒库)

火绒安全软件:https://www.huorong.cn

360杀毒:http://sd.360.cn/download_center.html

操作痕迹

最近操作的文件
查看操作过的文件,但是不多,不全

C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Recent

进行C:/User/xxx/Recent目录也能看到用户最近频繁操作的一些文件,但并不是所有操作,信息不够全面

执行文件操作记录
查看操作过的可执行文件的记录,这个记录在注册表中,一般不会被删除,使用AppCompatCacheParser.exe 工具,执行以下命令,在当前文件夹形成一个excle文件。

AppCompatCacheParser.exe --csv ./

浏览器浏览记录查看

可以使用工具,也可以直接巴拉浏览器
近期所有浏览器的操作记录使用BrowsingHistoryView⼀并查看,可以根据时间短对记录进行筛选。
在这里插入图片描述

重点目录检查

这些路径经常作为攻击者内网渗透的临时工作目录,以及木马启动、解压路径可以重点检查。

C:\Perflogs\
C:\Perflogs\admin\
C:\ProgramData\
C:\Users\Public\
C:\Users\当前用户\
C:\Windows\Temp\
C:\Users\当前用户\AppData\Roaming\
C:\Users\当前用户\AppData\Local\Temp\
C:\Users\当前用户\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

持久化检测

启动项

登录服务器,单击【开始】>【所有程序】>【启动】,默认情况下此目录在是一个空目录,确认是否有非业务程序在该目录下。
一般来讲路径

C:\Users\当前用户\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartupC:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

单击开始菜单 >【运行】,输入 msconfig,查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。
单击【开始】>【运行】,输入 regedit,打开注册表,查看开机启动项是否正常,特别注意如下三个注册表项,检查右侧是否有启动异常的项目,如有请删除,并建议安装杀毒软件进行病毒查杀,清除残留病毒或木马。

HKEY_CURRENT_USER\software\micorsoft\windows\currentversion\run  
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run  
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

利用安全软件查看启动项、开机时间管理等。
组策略,运行gpedit.msc
在这里插入图片描述

计划任务

单击【开始】>【设置】>【控制面板】>【任务计划】,查看计划任务属性,便可以发现木马文件的路径。

单击【开始】>【运行】;输入 cmd,然后输入at(新版系统使用schtasks),检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接。

映像劫持检测(Shift后门)

修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下sethc.exe,添加一个Debugger字符值(REG_SZ),并且赋值为cmd.exe的执行路径为C:\windows\system32\cmd.exe

服务检查

win +r 执行services.msc 查看异常的自启项

也可以使用autoruns进行查看

在这里插入图片描述

日志检查

Windows日志

查看windows日志,说白了也就主要看看登录情况,最常见的也就是rdp 登录和IPC 登录两种情况。

windows 日志中登录类型代表的含义,重点关注以下红框框里面的三个,网络就是IPC的地址,网络明文的话有ftp,telent等,远程交互就是直接远程连接上的那种。
在这里插入图片描述

常见日志审计中事件ID 代表的含义

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1EEvUsFn-1629877343282)(8084253A8A184692985168FA17E98C61)]

可以使用WinLogView工具,会列出系统中所有曾经登陆过的主机,包含本地登陆和远程登陆,针对原有的用户需要注意用户的登陆时间段是否在工作时间段内。

在这里插入图片描述

使用FullEventLogView批量加载主机日志,还能进行筛选,还算比较好用.

在这里插入图片描述

Log Parser 使用

使用前先将日志导出

基本查询结构

Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM E:\logparser\xx.evtx"

这是一则基本的查询,输入格式是EVT(事件),输出格式是DATAGRID(网格),然后是SQL语句,查询E:\logparser\xx.evtx的所有字段,结果呈现为网格的形式;

下面举两个示例

LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM E:\event.evtx where EventID=4624"  //查询登录成功的事情LogParser.exe -i:EVT -o:DATAGRID  "SELECT *  FROM e:\event.evtx where TimeGenerated>'2019-06-19 23:32:11' and TimeGenerated<'2019-11-20 23:34:00' and EventID=4624" //查询指定范围内登录成功。

查询成功后的结果

在这里插入图片描述

WEB日志

找到中间件的web日志,打包到本地方便进行分析。

推荐工具:Window下,推荐用 EmEditor 进行日志分析,支持大文本,搜索效率还不错。

重点,找到关键事件节点进行筛选,先找到WEBshell,根据上传时间,进行缩小范围的检索,一定要一步步的缩小范围,不然太多太杂了。


工具

LiveTcpUdpWatch:可以记录运行时间内的发起连接的记录,可以发现木马心跳值

ProcessExplorer、PCHunter,查看进程、调用的dll 等信息

autorun :可以查看服务、计划任务等。

winlogonview:查看最近登录的主机、账号等信息。

AppCompatCacheParser:可以查看对可执行文件的操作记录

FullEventLogView:查看系统日志

Log Parser 查看系统日志

EmEditor:在windows 平台下查看web日志

BrowsingHistoryView:查看浏览器浏览记录

参考

https://blog.csdn.net/wrsharper/article/details/80846676
https://blog.csdn.net/m0_37552052/article/details/90287476
http://sh1yan.top/2019/06/29/Principle-and-Practice-of-COM-Component-Hijacking/
https://mp.weixin.qq.com/s?__biz=MzkxNTE3MTY5OQ==&mid=2247493581&idx=1&sn=4d055b5e0d37efa47974803891e7e829&scene=21#wechat_redirect
https://bypass007.github.io/Emergency-Response-Notes/Summary/%E7%AC%AC1%E7%AF%87%EF%BC%9AWindow%E5%85%A5%E4%BE%B5%E6%8E%92%E6%9F%A5.html
https://blog.csdn.net/qq_38684504/article/details/103152214

Published by

风君子

独自遨游何稽首 揭天掀地慰生平